Memory dump analysis

Unterstützen Sie HackTricks

RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.

Start

Beginnen Sie mit der Suche nach Malware im pcap. Verwenden Sie die Werkzeuge, die in Malware-Analyse erwähnt werden.

Volatility ist das Haupt-Open-Source-Framework für die Analyse von Speicherabbildern. Dieses Python-Tool analysiert Dumps von externen Quellen oder VMware-VMs und identifiziert Daten wie Prozesse und Passwörter basierend auf dem OS-Profil des Dumps. Es ist mit Plugins erweiterbar, was es für forensische Untersuchungen äußerst vielseitig macht.

Hier finden Sie ein Cheatsheet

Mini-Dump-Absturzbericht

Wenn der Dump klein ist (nur einige KB, vielleicht ein paar MB), dann handelt es sich wahrscheinlich um einen Mini-Dump-Absturzbericht und nicht um ein Speicherabbild.

Wenn Sie Visual Studio installiert haben, können Sie diese Datei öffnen und einige grundlegende Informationen wie Prozessname, Architektur, Ausnahmeinformationen und ausgeführte Module binden:

Sie können auch die Ausnahme laden und die dekompilierten Anweisungen ansehen

Jedenfalls ist Visual Studio nicht das beste Werkzeug, um eine tiefgehende Analyse des Dumps durchzuführen.

Sie sollten es mit IDA oder Radare öffnen, um es gründlich zu inspizieren.

RootedCON ist die relevanteste Cybersecurity-Veranstaltung in Spanien und eine der wichtigsten in Europa. Mit der Mission, technisches Wissen zu fördern, ist dieser Kongress ein brodelnder Treffpunkt für Technologie- und Cybersecurity-Profis in jeder Disziplin.

Unterstützen Sie HackTricks

Last updated